Опять спам, точнее новая технология :(

vladimir.sharun＠ukr.net

19 Feb 2003 19 Feb '03

2:37 p.m.

Вот наблюдаю в логах (это греп) очень интересную картину: Feb 19 00:38:35 mx-1 exim[44803]: 18lGNj-000Bed-00 <= ecs1736131219826484@yahoo.com H=dclient217-162-160-62.hispeed.ch [217.162.160.62] P=smtp S=5860 id=497320477d0prelohCxnu1qhw@aol.com T="Fw: Посмотри, это действительно прикольно" for a-mobile@ukr.net Feb 19 00:39:18 mx-1 exim[47663]: 18lGOS-000COl-00 <= wser19533butch2@yahoo.com H=cpe-24-162-210-35.elp.rr.com [24.162.210.35] P=smtp S=5828 id=14216529d0y0nCxnu1qhw@mail.com T="Fw: Посмотри, это действительно прикольно" for a-v-k@ukr.net Feb 19 00:39:58 mx-1 exim[49314]: 18lGP6-000CpO-00 <= thilot19919mrt@yahoo.com H=adsl-63-169-115.mob.bellsouth.net [208.63.169.115] P=smtp S=5874 id=1500916343dbdo|rqdCxnu1qhw@eudoramail.com T="Fw: Посмотри, это действительно прикольно" for a_alyona@ukr.net Feb 19 00:40:11 mx-1 exim[49526]: 18lGPJ-000Cso-00 <= a_chrisw6516fernanda_bs@yahoo.com H=pppoe2752.rb.gh.centurytel.net [64.91.96.254] P=smtp S=5854 id=2433325330dbexjdhyCxnu1qhw@email.com T="Fw: Посмотри, это действительно прикольно" for a_bugaev@ukr.net Feb 19 00:40:12 mx-1 exim[49527]: 18lGPJ-000Csp-00 <= he_man_024523felicin@yahoo.com H=pcp682390pcs.olathe01.ks.comcast.net [68.46.231.174] P=smtp S=5848 id=102998965dbexupdndCxnu1qhw@yahoo.com T="Fw: Посмотри, это действительно прикольно" for a_burmaka@ukr.net Feb 19 00:41:26 mx-1 exim[51829]: 18lGQX-000DTx-00 <= zargsch22011leungwaikei@yahoo.com H=adsl-18-33-131.mco.bellsouth.net [68.18.33.131] P=smtp S=5860 id=1510232261dbjluqCxnu1qhw@email.com T="Fw: Посмотри, это действительно прикольно" for a_girn@ukr.net (тут приблизительно 800 хитов было) Ни один их этих хостов не является open-relay/open-proxy. Кратенький nmap показывает, что на всех машинах трояны. Причем в явном виде их не видно, только через "другие" типы сканирования nmap'ом видны зафильтрованые порты. Вопрос к аудитории: что потенциально можно сделать против этого дела ? Каким образом можно закрываться/фильтроваться ? -- VVS56-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Show replies by date

Igor Karpov

19 Feb 19 Feb

2:41 p.m.

On Wed, Feb 19, 2003 at 04:37:34PM +0200, vladimir.sharun@ukr.net wrote:

...

Вот наблюдаю в логах (это греп) очень интересную картину: Feb 19 00:38:35 mx-1 exim[44803]: 18lGNj-000Bed-00 <= ecs1736131219826484@yahoo.com H=dclient217-162-160-62.hispeed.ch [217.162.160.62] P=smtp S=5860 id=497320477d0prelohCxnu1qhw@aol.com T="Fw: Посмотри, это действительно прикольно" for a-mobile@ukr.net [dd] (тут приблизительно 800 хитов было)

Ни один их этих хостов не является open-relay/open-proxy. Кратенький nmap показывает, что на всех машинах трояны. Причем в явном виде их не видно, только через "другие" типы сканирования nmap'ом видны зафильтрованые порты. Вопрос к аудитории: что потенциально можно сделать против этого дела ? Каким образом можно закрываться/фильтроваться ?

А в хэдэре случайно нет никаких характерных строк, чтобы можно было ACL построить? Regards, -- Igor A. Karpov phone: +380(44)238-0624 Unix System Administrator Where bribes are cheerfully accepted. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexey Balabushevich

2:52 p.m.

On Wed, Feb 19, 2003 at 04:37:34PM +0200, vladimir.sharun@ukr.net wrote:

...

Вот наблюдаю в логах (это греп) очень интересную картину: Feb 19 00:38:35 mx-1 exim[44803]: 18lGNj-000Bed-00 <= ecs1736131219826484@yahoo.com H=dclient217-162-160-62.hispeed.ch [217.162.160.62] P=smtp S=5860 id=497320477d0prelohCxnu1qhw@aol.com T="Fw: Посмотри, это действительно прикольно" for a-mobile@ukr.net Feb 19 00:39:18 mx-1 exim[47663]: 18lGOS-000COl-00 <= wser19533butch2@yahoo.com H=cpe-24-162-210-35.elp.rr.com [24.162.210.35] P=smtp S=5828 id=14216529d0y0nCxnu1qhw@mail.com T="Fw: Посмотри, это действительно прикольно" for a-v-k@ukr.net Feb 19 00:39:58 mx-1 exim[49314]: 18lGP6-000CpO-00 <= thilot19919mrt@yahoo.com H=adsl-63-169-115.mob.bellsouth.net [208.63.169.115] P=smtp S=5874 id=1500916343dbdo|rqdCxnu1qhw@eudoramail.com T="Fw: Посмотри, это действительно прикольно" for a_alyona@ukr.net Feb 19 00:40:11 mx-1 exim[49526]: 18lGPJ-000Cso-00 <= a_chrisw6516fernanda_bs@yahoo.com H=pppoe2752.rb.gh.centurytel.net [64.91.96.254] P=smtp S=5854 id=2433325330dbexjdhyCxnu1qhw@email.com T="Fw: Посмотри, это действительно прикольно" for a_bugaev@ukr.net Feb 19 00:40:12 mx-1 exim[49527]: 18lGPJ-000Csp-00 <= he_man_024523felicin@yahoo.com H=pcp682390pcs.olathe01.ks.comcast.net [68.46.231.174] P=smtp S=5848 id=102998965dbexupdndCxnu1qhw@yahoo.com T="Fw: Посмотри, это действительно прикольно" for a_burmaka@ukr.net Feb 19 00:41:26 mx-1 exim[51829]: 18lGQX-000DTx-00 <= zargsch22011leungwaikei@yahoo.com H=adsl-18-33-131.mco.bellsouth.net [68.18.33.131] P=smtp S=5860 id=1510232261dbjluqCxnu1qhw@email.com T="Fw: Посмотри, это действительно прикольно" for a_girn@ukr.net (тут приблизительно 800 хитов было)

Ни один их этих хостов не является open-relay/open-proxy.

там могут стоять открытые socks-сервера.

...

Кратенький nmap показывает, что на всех машинах трояны. Причем в явном виде их не видно, только через "другие" типы сканирования nmap'ом видны зафильтрованые порты. Вопрос к аудитории: что потенциально можно сделать против этого дела ? Каким образом можно закрываться/фильтроваться ?

Фильтровать их по IP , но спамеры все время отыскивают новые, универсального рецепта пока нет. -- Alexey Balabushevich nic-hdl: AB433-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

vladimir.sharun＠ukr.net

2:56 p.m.

Igor Karpov wrote:

...

On Wed, Feb 19, 2003 at 04:37:34PM +0200, vladimir.sharun@ukr.net wrote:

...
Вот наблюдаю в логах (это греп) очень интересную картину: Feb 19 00:38:35 mx-1 exim[44803]: 18lGNj-000Bed-00 <= ecs1736131219826484@yahoo.com H=dclient217-162-160-62.hispeed.ch [217.162.160.62] P=smtp S=5860 id=497320477d0prelohCxnu1qhw@aol.com T="Fw: Посмотри, это действительно прикольно" for a-mobile@ukr.net [dd] (тут приблизительно 800 хитов было)

Ни один их этих хостов не является open-relay/open-proxy. Кратенький nmap показывает, что на всех машинах трояны. Причем в явном виде их не видно, только через "другие" типы сканирования nmap'ом видны зафильтрованые порты. Вопрос к аудитории: что потенциально можно сделать против этого дела ? Каким образом можно закрываться/фильтроваться ?

А в хэдэре случайно нет никаких характерных строк, чтобы можно было ACL построить?

Например:

...

From thilot19919mrt@yahoo.com Wed Feb 19 00:39:58 2003 Return-path: Received: from adsl-63-169-115.mob.bellsouth.net ([208.63.169.115]) by mx-1.ukr.net with smtp ID 18lGP6-000CpO-00 for a_alyona@ukr.net; Wed, 19 Feb 2003 00:39:57 +0200 Received: from yahoo.com (29358 [119.117.84.193]) by email.com (8.12.1/8.12.1) with ESMTP id 2752 for ; Tue, 18 Feb 2003 14:38:32 -0800 Received: from email.com ([176.16.180.183]) by juno.com (8.9.3/8.9.3) with SMTP id 11282 for ; Tue, 18 Feb 2003 14:38:27 -0800 Message-ID: <1500916343dbdo|rqdCxnu1qhw@eudoramail.com> From: "celesterubio" To: "" Date: Tue, 18 Feb 2003 14:38:22 -0800 Subject: Fw: Посмотри, это действительно прикольно X-Mailer: The Bat! (v1.53d) UNREG / CD5BF9353B3B7091 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----=_NextPart_000_0006_027C049C.77D64D7C" X-Scanner: exiscan for exim4 (http://duncanthrax.net/exiscan/) *18lGP6-000CpO-00*8APxGFYbBIk*

------=_NextPart_000_0006_027C049C.77D64D7C Content-Type: text/html; charset=koi8-r Content-Transfer-Encoding: base64 ================================================================== Налицо тупо сварганенные два received, но сами понимаем, что их можно легко подстроить под "правильные". -- VVS56-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

vladimir.sharun＠ukr.net

2:57 p.m.

Alexey Balabushevich wrote:

...

там могут стоять открытые socks-сервера.

Bar, у меня авточекер на входящие хосты, ловящий open-proxy/open-relay.

...

...
Кратенький nmap показывает, что на всех машинах трояны. Причем в явном виде их не видно, только через "другие" типы сканирования nmap'ом видны зафильтрованые порты. Вопрос к аудитории: что потенциально можно сделать против этого дела ? Каким образом можно закрываться/фильтроваться ?

Фильтровать их по IP , но спамеры все время отыскивают новые, универсального рецепта пока нет.

А отлавливать в онлайне-то как ? Вот я и ищу универсальный рецепт. -- VVS56-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Igor Karpov

3:01 p.m.

On Wed, Feb 19, 2003 at 04:56:38PM +0200, vladimir.sharun@ukr.net wrote:

...

Igor Karpov wrote:

...
On Wed, Feb 19, 2003 at 04:37:34PM +0200, vladimir.sharun@ukr.net wrote:

...
Вот наблюдаю в логах (это греп) очень интересную картину: Feb 19 00:38:35 mx-1 exim[44803]: 18lGNj-000Bed-00 <= ecs1736131219826484@yahoo.com H=dclient217-162-160-62.hispeed.ch [217.162.160.62] P=smtp S=5860 id=497320477d0prelohCxnu1qhw@aol.com T="Fw: Посмотри, это действительно прикольно" for a-mobile@ukr.net [dd] (тут приблизительно 800 хитов было)

Ни один их этих хостов не является open-relay/open-proxy. Кратенький nmap показывает, что на всех машинах трояны. Причем в явном виде их не видно, только через "другие" типы сканирования nmap'ом видны зафильтрованые порты. Вопрос к аудитории: что потенциально можно сделать против этого дела ? Каким образом можно закрываться/фильтроваться ?

А в хэдэре случайно нет никаких характерных строк, чтобы можно было ACL построить?

Например: From thilot19919mrt@yahoo.com Wed Feb 19 00:39:58 2003 Return-path: Received: from adsl-63-169-115.mob.bellsouth.net ([208.63.169.115]) by mx-1.ukr.net with smtp ID 18lGP6-000CpO-00 for a_alyona@ukr.net; Wed, 19 Feb 2003 00:39:57 +0200 Received: from yahoo.com (29358 [119.117.84.193]) by email.com (8.12.1/8.12.1) with ESMTP id 2752 for ; Tue, 18 Feb 2003 14:38:32 -0800 Received: from email.com ([176.16.180.183]) by juno.com (8.9.3/8.9.3) with SMTP id 11282 for ; Tue, 18 Feb 2003 14:38:27 -0800 Message-ID: <1500916343dbdo|rqdCxnu1qhw@eudoramail.com> From: "celesterubio" To: "" Date: Tue, 18 Feb 2003 14:38:22 -0800 Subject: Fw: Посмотри, это действительно прикольно X-Mailer: The Bat! (v1.53d) UNREG / CD5BF9353B3B7091 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----=_NextPart_000_0006_027C049C.77D64D7C" X-Scanner: exiscan for exim4 (http://duncanthrax.net/exiscan/) *18lGP6-000CpO-00*8APxGFYbBIk*

------=_NextPart_000_0006_027C049C.77D64D7C Content-Type: text/html; charset=koi8-r Content-Transfer-Encoding: base64 ==================================================================

Налицо тупо сварганенные два received, но сами понимаем, что их можно легко подстроить под "правильные".

Ну, для данного примера рецепт как раз есть :) Ты же получаешь exim-users@exim.org? Если ничего на yahoo не менялось, то # All yahoo.com mail will have either # "...yahoo.com via HTTP " # *OR* # "...yahoo.com with NNFMP" deny sender_domains = yahoo.com message = X-Forgery: NOT YAHOO SERVER condition = ${if match {$h_Received:}{yahoo.com.via.HTTP}{no}{yes}} condition = ${if match {$h_Received:}{yahoo.com.with.NNFMP}{no}{yes}} deny message = X-SPAM: GET LOST, DAMNED SPAMMER condition = ${if match {$h_To:}{recipient@rcpthost.rcptdomain}{yes}{no}} Regards, -- Igor A. Karpov phone: +380(44)238-0624 Unix System Administrator As subtle as a chainsaw, but lacking its social grace. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

vladimir.sharun＠ukr.net

3:09 p.m.

Igor Karpov wrote:

...

Ну, для данного примера рецепт как раз есть :) Ты же получаешь exim-users@exim.org?

Получаешь.

...

Если ничего на yahoo не менялось, то

# All yahoo.com mail will have either # "...yahoo.com via HTTP " # *OR* # "...yahoo.com with NNFMP" deny sender_domains = yahoo.com message = X-Forgery: NOT YAHOO SERVER condition = ${if match {$h_Received:}{yahoo.com.via.HTTP}{no}{yes}} condition = ${if match {$h_Received:}{yahoo.com.with.NNFMP}{no}{yes}} deny message = X-SPAM: GET LOST, DAMNED SPAMMER condition = ${if match {$h_To:}{recipient@rcpthost.rcptdomain}{yes}{no}}

Это один из примеров. Там использовалось еще juno.com/mail.com. BTW: @yahoo экаунтами пользуются очень часто не с самой яхи, так что предложенный тобой вариант лишь частный случай. Против умников с "левыми helo" у меня есть другой "прибамбас", но то другая история. -- VVS56-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Igor Karpov

3:14 p.m.

On Wed, Feb 19, 2003 at 05:09:16PM +0200, vladimir.sharun@ukr.net wrote:

...

Igor Karpov wrote:

...
Ну, для данного примера рецепт как раз есть :) Ты же получаешь exim-users@exim.org?

Получаешь.

...
Если ничего на yahoo не менялось, то

# All yahoo.com mail will have either # "...yahoo.com via HTTP " # *OR* # "...yahoo.com with NNFMP" deny sender_domains = yahoo.com message = X-Forgery: NOT YAHOO SERVER condition = ${if match {$h_Received:}{yahoo.com.via.HTTP}{no}{yes}} condition = ${if match {$h_Received:}{yahoo.com.with.NNFMP}{no}{yes}} deny message = X-SPAM: GET LOST, DAMNED SPAMMER condition = ${if match {$h_To:}{recipient@rcpthost.rcptdomain}{yes}{no}}

Это один из примеров. Там использовалось еще juno.com/mail.com. BTW: @yahoo экаунтами пользуются очень часто не с самой яхи, так что предложенный тобой вариант лишь частный случай. Против умников с "левыми helo" у меня есть другой "прибамбас", но то другая история.

Что тут сказать? Осталось построить какой-нибудь SMTP-2, внести в уголовный кодекс соответствующие статьи (а лучше - отдельным томом), а все сервисы предоставлять под расписку :( Regards, -- Igor A. Karpov phone: +380(44)238-0624 Unix System Administrator A stitch in time... oops... rats, ripping, ripping, ripping! =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

vladimir.sharun＠ukr.net

3:22 p.m.

Igor Karpov wrote:

...

...
Это один из примеров. Там использовалось еще juno.com/mail.com. BTW: @yahoo экаунтами пользуются очень часто не с самой яхи, так что предложенный тобой вариант лишь частный случай. Против умников с "левыми helo" у меня есть другой "прибамбас", но то другая история.

Что тут сказать? Осталось построить какой-нибудь SMTP-2, внести в уголовный кодекс соответствующие статьи (а лучше - отдельным томом), а все сервисы предоставлять под расписку :(

Хм, пока копался, попросил коллег сделать аналогичный пример посылки из бата и сравнил разницу в технологии построения заголовков оригинальным батом и спамопосылалкой. Результат не заставил себя долго ждать - минимум 3 отличия: 1. Отсутствие X-Priority:, который всегда ставит "оригинальный" бат 2. Кривое построение Content-type: (бат всегда говорит multipart/mixed) 3. Построение message-id. У бата оно тоже весьма оригинальное. BTW: я автоматом дискаржу сообщения, в которых X-mailer аутлук или бат, и message-id сгенерирован моими серверами, ибо такого в природе не бывает :) PS: понятно, что это тоже частный случай, но всеже. PS#2: Такой тип рассылки (через похаченные машины) является нарушением нашего УК. Если бы оттрейсить одного такого товарища, да за яй^H^H шею на рею, был бы прецедент. -- VVS56-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Paul Arakelyan

4:16 p.m.

On Wed, Feb 19, 2003 at 04:37:34PM +0200, vladimir.sharun@ukr.net wrote:

...

Вот наблюдаю в логах (это греп) очень интересную картину: Feb 19 00:38:35 mx-1 exim[44803]: 18lGNj-000Bed-00 <= ecs1736131219826484@yahoo.com H=dclient217-162-160-62.hispeed.ch [217.162.160.62] P=smtp S=5860 id=497320477d0prelohCxnu1qhw@aol.com T="Fw: Посмотри, это действительно прикольно" for a-mobile@ukr.net Feb 19 00:39:18 mx-1 exim[47663]: 18lGOS-000COl-00 <= wser19533butch2@yahoo.com H=cpe-24-162-210-35.elp.rr.com [24.162.210.35] P=smtp S=5828 id=14216529d0y0nCxnu1qhw@mail.com T="Fw: Посмотри, это действительно прикольно" for a-v-k@ukr.net Feb 19 00:39:58 mx-1 exim[49314]: 18lGP6-000CpO-00 <= thilot19919mrt@yahoo.com H=adsl-63-169-115.mob.bellsouth.net [208.63.169.115] P=smtp S=5874 id=1500916343dbdo|rqdCxnu1qhw@eudoramail.com T="Fw: Посмотри, это действительно прикольно" for a_alyona@ukr.net Feb 19 00:40:11 mx-1 exim[49526]: 18lGPJ-000Cso-00 <= a_chrisw6516fernanda_bs@yahoo.com H=pppoe2752.rb.gh.centurytel.net [64.91.96.254] P=smtp S=5854 id=2433325330dbexjdhyCxnu1qhw@email.com T="Fw: Посмотри, это действительно прикольно" for a_bugaev@ukr.net Feb 19 00:40:12 mx-1 exim[49527]: 18lGPJ-000Csp-00 <= he_man_024523felicin@yahoo.com H=pcp682390pcs.olathe01.ks.comcast.net [68.46.231.174] P=smtp S=5848 id=102998965dbexupdndCxnu1qhw@yahoo.com T="Fw: Посмотри, это действительно прикольно" for a_burmaka@ukr.net Feb 19 00:41:26 mx-1 exim[51829]: 18lGQX-000DTx-00 <= zargsch22011leungwaikei@yahoo.com H=adsl-18-33-131.mco.bellsouth.net [68.18.33.131] P=smtp S=5860 id=1510232261dbjluqCxnu1qhw@email.com T="Fw: Посмотри, это действительно прикольно" for a_girn@ukr.net (тут приблизительно 800 хитов было) Эх - а прикинь каково быть hotmail.com'ом ;). Туда за сутки вливается наверно несколько сотен миллионов спама. Кстати - интересно просто - сколько писем в сутки проезжает в ukr.net (десятки тысяч/сотни/миллионы?). При большой куче можно играть в статистические закономерности. Только мощи на это надо немало. Но yahoo.com в такое "играет" - причём успешно.

...

Ни один их этих хостов не является open-relay/open-proxy. Кратенький nmap показывает, что на всех машинах трояны. Причем

Не пофигу ли что там? Мне тут недавно линк подбрасывали - сервис значится: покупаешь софтину (типа супер-стелс-пупер-мылер), платишь за отсылку N мылов, тыкаешь на княпку и оно отсылает "через свои сервера". При этом ты платишь за количество мыл (ну, эдакий, возможно, более-менее законный лохотрон). Что-то мне подсказывет, то оно подобным образом тоже может будет выглядеть. Хотя 400-500K emails/сутки, которые в том линке поминались - оочень напряжно послать по dialup'ным линкам - гемороя будет не много, а очень много. Но технически такое реализуемо.

...

в явном виде их не видно, только через "другие" типы сканирования nmap'ом видны зафильтрованые порты. Досканируесся как-нить ;).

...

Вопрос к аудитории: что потенциально можно сделать против этого дела ? Каким образом можно закрываться/фильтроваться ? Из идей - как-нибудь "более осторожно" относиться к хостам с бэк-резолвом содержащим кучу цифр. Далее из идей есть что-то типа тыкания сабжей и длин писем в базу - эдакая эвристика для бедных. Причём длины считать неточно.

А вот по HELO фильтровать (когда в HELO и DNS написано разное) - эт садизм (кроме "фирменных" HELO - их по идее для того и делали (ну постёбаться мож ещё), хотя может я неправ). Главное - почему не сказать ясно "5xx мне ваш хело не нравится - идите отдохните"? А то вопросов возникает потом... :( Кстати - скажите hotmail.com "HELO unknown.Level3.net" - ото его заклинивает на rcpt to: ;). -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Paul Arakelyan

4:38 p.m.

On Wed, Feb 19, 2003 at 05:22:33PM +0200, vladimir.sharun@ukr.net wrote:

...

Igor Karpov wrote:

...
...
Это один из примеров. Там использовалось еще juno.com/mail.com. BTW: @yahoo экаунтами пользуются очень часто не с самой яхи, так что предложенный тобой вариант лишь частный случай. Против умников с "левыми helo" у меня есть другой "прибамбас", но то другая история. Были как-то обстоятельства, из-за которых я не мог дать тазику говорить как он в самом деле называется (вытаскивание тунеля на територии, где можно дерьмом обляпаться невзначай - и чтоб там увидели мой тазик - то потом бы начались "домыслы с обвинениями"). Ну а потом у моего юзера форвард в ukr.net вдруг перестал работать. Пол-года всё работало и вдруг того.

...

...
Что тут сказать? Осталось построить какой-нибудь SMTP-2, внести в уголовный кодекс соответствующие статьи (а лучше - отдельным томом), а все сервисы предоставлять под расписку :(

Хм, пока копался, попросил коллег сделать аналогичный пример посылки из бата и сравнил разницу в технологии построения заголовков оригинальным батом и спамопосылалкой. Результат не заставил себя долго ждать - минимум 3 отличия: 1. Отсутствие X-Priority:, который всегда ставит "оригинальный" бат 2. Кривое построение Content-type: (бат всегда говорит multipart/mixed) Это всё вполне "написуемо". Просто должна быть потребность в этом. Ну и радуйся, что не все спамософтописатели точно знают как чего работает. 3. Построение message-id. У бата оно тоже весьма оригинальное. Эээто ты глазками можешь сказать. Я на X-Mailer: QWCGDFGSAGGEFD тоже могу сказать - спамова тулзень. Но как это программно описать? А ruleset для sendmail для такого?

...

BTW: я автоматом дискаржу сообщения, в которых X-mailer аутлук Ну - правильнее сделать княпку "фильтровать спам->ышчо лучче фильтровать-> зафильтровать всё нафиг" - как в hotmail.com. Юзерам удобнее и мозги не напрягает (в отличие от "написать фильтры"). или бат, и message-id сгенерирован моими серверами, ибо такого в природе не бывает :) Ну - если там ничего уникального ваще нету - то те чуваки дебилы.

...

PS: понятно, что это тоже частный случай, но всеже. PS#2: Такой тип рассылки (через похаченные машины) является нарушением нашего УК. Если бы оттрейсить одного такого товарища, да за яй^H^H шею на рею, был бы прецедент. Только для рассыльщиков это может быть "Вашего УК". Вообще говоря спам через open relays&like - эт точно "для бедных" с небольшими объёмами, или желающих обойти разные антиспамовые проверки. Или кто-то деньги не умеет считать просто...

-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

vladimir.sharun＠ukr.net

4:49 p.m.

Paul Arakelyan wrote:

...

Кстати - интересно просто - сколько писем в сутки проезжает в ukr.net (десятки тысяч/сотни/миллионы?). При большой куче

сотни

...

можно играть в статистические закономерности. Только мощи на это надо немало. Но yahoo.com в такое "играет" - причём успешно.

Вот интересно как...

...

...
Вопрос к аудитории: что потенциально можно сделать против этого дела ? Каким образом можно закрываться/фильтроваться ? Из идей - как-нибудь "более осторожно" относиться к хостам с бэк-резолвом содержащим кучу цифр. Далее из идей есть что-то типа тыкания сабжей и длин писем в базу - эдакая эвристика для бедных. Причём длины считать неточно.

Что понимается под "более осторожно" ? Дефер им ставить или сразу лесом/полем посылать ? BTW: идея дохлая изначально, это я еще пару лет назад проходил.

...

А вот по HELO фильтровать (когда в HELO и DNS написано разное) - эт садизм (кроме "фирменных" HELO - их по идее для того и делали (ну постёбаться мож ещё), хотя может я неправ).

Ничего наглого нет. Когда моему mx-1.ukr.net говорят HELO mx-1.ukr.net я потом на RCPT To: так и отвечаю: 550 Wrong HELO/EHLO given.

...

Главное - почему не сказать ясно "5xx мне ваш хело не нравится - идите отдохните"?

Так и есть. От 3 до 12к RCPT в сутки отбивается по фэйканым хэло. PS: а где солюшн или дополнительные вопросы ? К чему вообще был твой риплай ? Анализ сабжектов и длин говоришь ? А что, если посылающий хост - это smtp-out12.k00l-p4ov1der.net и его подставили таким образом (на 25-м порту mail-out'ы не слушают - это и так ясно) ? -- VVS56-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

vladimir.sharun＠ukr.net

4:59 p.m.

Paul Arakelyan wrote:

...

...
1. Отсутствие X-Priority:, который всегда ставит "оригинальный" бат 2. Кривое построение Content-type: (бат всегда говорит multipart/mixed) Это всё вполне "написуемо". Просто должна быть потребность в этом. Ну и радуйся, что не все спамософтописатели точно знают как чего работает. 3. Построение message-id. У бата оно тоже весьма оригинальное. Эээто ты глазками можешь сказать. Я на X-Mailer: QWCGDFGSAGGEFD

Это я могу фильтром доказать, что MSGID был сделан батом.

...

тоже могу сказать - спамова тулзень. Но как это программно описать? А ruleset для sendmail для такого?

Гипотетически можно и так, только что-то никто в онлайне мейлеры не меняет. -- VVS56-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Paul Arakelyan

6:32 p.m.

On Wed, Feb 19, 2003 at 06:49:23PM +0200, vladimir.sharun@ukr.net wrote:

...

Paul Arakelyan wrote:

...
Кстати - интересно просто - сколько писем в сутки проезжает в ukr.net (десятки тысяч/сотни/миллионы?). При большой куче

сотни Уже можно пытаться играть в статистику. "Спам - это закон больших чисел" (c) мой. Шоправда, какие-такие числа у нас... И чё тут эти спамеры забыли...

...

...
можно играть в статистические закономерности. Только мощи на это надо немало. Но yahoo.com в такое "играет" - причём успешно.

Вот интересно как... Ну из того чего видно было "с другой стороны" ;) - "velocity check": Берём и в несколько десятков smtp сеесий отсылаем одно и то же письмо, в каждой сессии каждые N писем отсылаем на "контрольные адреса". Первые N (число практиески вполне конкретное) писем попадают "куда надо", далее - "introducing junk mail folder!". То есть - не 100% фильтрация, но против реального "industrial grade" спама (такого тут нет, правда...) процент практиески 100%. Но в yahoo также есть немерянные white lists. Это то, его у наших ISP практически нет (а ведь было кому-то "весело", прийти на работу и увидеть то он от своих клиентов почту не принимает из-за relays.osirusoft).

...

...
...
Вопрос к аудитории: что потенциально можно сделать против этого дела ? Каким образом можно закрываться/фильтроваться ? Из идей - как-нибудь "более осторожно" относиться к хостам с бэк-резолвом содержащим кучу цифр. Далее из идей есть что-то типа тыкания сабжей и длин писем в базу - эдакая эвристика для бедных. Причём длины считать неточно.

Что понимается под "более осторожно" ? Дефер им ставить или сразу лесом/полем посылать ? BTW: идея дохлая изначально, это я еще Нет - "посылать" у нас конечно любят, но за что ж так? Хотя сделать defer, внести в базу "позволим этим в следующий раз", и таки позволить. Хотя если решить, что ukr.net==украинский hotmail.com, то можно получить специально под такое mailer...

...

пару лет назад проходил. Нет - если это чего-то с эвристикой - то добавлять весовой коэфициент/ тщательнее проверять на предмет спам/не спам. Ибо та же база - не резиновая. Поэтому добавлять туда вагон всего - наверно не стоит. То есть - наличие более чем N цифр/слов ppp/dsl/comcast/bellsouth - это триггер для внесения в базу.

...

...
А вот по HELO фильтровать (когда в HELO и DNS написано разное) - эт садизм (кроме "фирменных" HELO - их по идее для того и делали (ну постёбаться мож ещё), хотя может я неправ).

Ничего наглого нет. Когда моему mx-1.ukr.net говорят HELO mx-1.ukr.net я потом на RCPT To: так и отвечаю: 550 Wrong HELO/EHLO given. Это понятно. В моём случае было "HELO public" - и потом две недели неожиданного гемороя ;) с одним отдельно взятым юзером.

...

...
Главное - почему не сказать ясно "5xx мне ваш хело не нравится - идите отдохните"?

Так и есть. От 3 до 12к RCPT в сутки отбивается по фэйканым хэло. Это я к тому, что тот раз юзеру пришлось куда-то в ваш саппорт писать и выяснять "то собственно не так" - ибо из отлупов это было непонятно.

...

PS: а где солюшн или дополнительные вопросы ? К чему вообще был твой риплай ? Анализ сабжектов и длин говоришь ? А что, если subject & message length - пожалуй единственное, что можно быстро и ненапряжно достать из письма и ненапряжно хранить - ну ещё количество rcpt to сказанное при посылке этого письма(но это надо наверно точить MTA). При этом "не персонализирующие" спамилки сразу летят лесом. mail lists тоже могут туда улететь, правда :).

...

посылающий хост - это smtp-out12.k00l-p4ov1der.net и его подставили Да - возможно. Для "подставить с попаданием в spamcop" вообще много не надо. Особенно, если творчески подойти.

...

таким образом (на 25-м порту mail-out'ы не слушают - это и так ясно) ? Каким - таким? Идея в том, что есть база в которую о каждом письме вносим хост/тема/размер тела. Я бы сделал несколько(порядок опустим ;)) таблиц - e.g. письма размером 100-110 байт в одну таблицу/111-120 - в следующую &so on. (Тут я хочу сказать, то спец по БД из меня шо пуля из пластилину - меня этому не учили - посему я мало о чём кроме disk i/o задумываюсь). В таблице в строке держим subject, size (точный), количество совпадающих по subject&size, ip, время получения, количество rcpt в envelope. Записи должны expire через разумный промежуток времени. таким образом, если набирается N messages одинакового размера (или "почти одинакового" размера и с одинаковым subject) - делаем defer. С сабжами - аналогично. Поскольку у нас есть expire - "рано или поздно" норамльное мыло дойдёт. Кроме того, можно пробовать сделать закономерности на времени прибытия/отправки письма. Я не знаю о существовании spamware, умеющего разумно на такое реагировать (на defered). В итоге "нормальная" пота дойдёт. На мелком провайдере такое реализовывать наверно тяжеловато будет, но на крупном с кучей мыла - статистиеские методы могут себя показать, даже без "супер-наворотов" с неёткой логикой &co.

Спамить с помощью sendmail&co... Ну - наверно можно. Но "спотривных достижений" не получится. Таким образом - твои юзера получат какое-то колиество спама. Но меньшее. Либо его посылку "растянут" во времени. Теория красивая - вот только что будет с ней в праздничные дни - при таком раскладе "С новым годом!" к концу года мож дойдёт, ежели чего не подкрутят ;)... -- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Paul Arakelyan

6:55 p.m.

On Wed, Feb 19, 2003 at 06:59:24PM +0200, vladimir.sharun@ukr.net wrote:

...

Paul Arakelyan wrote:

...
...
1. Отсутствие X-Priority:, который всегда ставит "оригинальный" бат 2. Кривое построение Content-type: (бат всегда говорит multipart/mixed) Это всё вполне "написуемо". Просто должна быть потребность в этом. Ну и радуйся, что не все спамософтописатели точно знают как чего работает. 3. Построение message-id. У бата оно тоже весьма оригинальное. Эээто ты глазками можешь сказать. Я на X-Mailer: QWCGDFGSAGGEFD

Это я могу фильтром доказать, что MSGID был сделан батом. То есть, проще говоря ты знаешь/догадываешься об алгоритме генерации этого у bat. Если ты это сам "расколупал" и без труда и высшей математики - то наверно, спамеры смогут тоже такое сделать :). Но тут пока "выезд" на следующем - я так понимаю, что нынешнее спамваре любит подставлять X-Mailer из списка - поэтому такое работает. "Как только" это нанёт мешать - начнут то-то умное придумывать.

...
тоже могу сказать - спамова тулзень. Но как это программно описать? А ruleset для sendmail для такого?

Гипотетически можно и так, только что-то никто в онлайне мейлеры не меняет. В смысле - не меняет? Мне вагоны спама в ua.net валятся с x-mailer: типа-случайная-фигня. И общего у неё пока только большие буквы и цифры, маленьких букв не виделось... Я вобщем, догадываюсь, зачем это делается. Только мож китайцы об этом не догадываются и "просто так"....

7883

Age (days ago)

7883

Last active (days ago)

List overview

Download

14 comments

4 participants

participants (4)

Alexey Balabushevich
Igor Karpov
Paul Arakelyan
vladimir.sharun＠ukr.net